WYSIWYG Уязвимости получения инфы от юзера

[Pamparam]

Вот думаю какой wysiwyg редактор прикрепить к самописному форуму и как защитить себя от входящей инфы?
Если взять html редактор и разрешить на входе только определенные теги стрипом

PHP код:

$text = '<b onclick="alert(1)">zzz</b>';

echo strip_tags($text, '<b>'); 


То ява код (клик по zzz) будет работать! Вот такая вот чепуха... Каким образом тогда оборонять от чужеродного кода свои захрома?
Если брать phpbb, то и выбор редакторов более скудный и лишняя обработка кода напрягает, да и писать свой собственный намного проблемнее.
У кого есть советы по выковырке из html-редактора всех уязвимостей и прочие мысли - прошу...

[ATL]

http://ckeditor.com/

[Pamparam]

Цитата:

Сообщение от ATL

http://ckeditor.com/

напрячь мозг и прочитать тему (или хотя-бы заголовок) пробовал?

[ATL]

Осилить API или хотя бы демо пробовал?

[Pamparam]

Цитата:

Сообщение от ATL

Осилить API или хотя бы демо пробовал?

я так понимаю, что даже после моего направительного поста у тебя не хватило ума напрячь свои мозгИ и, опять же, прочитать суть темы или хотя-бы заголовка

[ATL]

Я так понимаю, у тебя не хватило ума осилить документацию, где русским на красном фоне написано:

Цитата:

Сообщение от http://php.net/manual/ru/function.strip-tags.php

Внимание. Эта функция не изменяет атрибуты тегов, разрешенных с помощью allowable_tags, включая такие атрибуты как style и onmouseover, которые могут быть использованы озорными пользователями при посылке текста, отображаемого также и другим пользователям.

По поводу Ckeditor - попытайся напрячь извилины и медленно, по слогам (можешь прибегнуть к помощи посторонних), прочитать мануал.

[Pamparam]

Цитата:

Сообщение от ATL

Я так понимаю, у тебя не хватило ума осилить документацию, где русским на красном фоне написано:


По поводу Ckeditor - попытайся напрячь извилины и медленно, по слогам (можешь прибегнуть к помощи посторонних), прочитать мануал.

Боже... откуда берутся такие балбесы... Я тебе в 3 раз советую прочитать мой первый пост, хотя и понимаю, что если человек (есть сомнения, что ты человек, а не макака) со второго раза не понял, то и в третий раз не поймет
Специально для тебя, тупицы, разжую:
-я не просил ссылку на редактор
-я написал про то, что атрибуты не удаляются в первом посте, но ты, тупица, зачем-то скопировал аналогичный текст, что в лишний раз подтверждает, что ты не читал топик
-мне не нужно читать мануалы или пробовать демки каких-то там редакторов потому, что вопрос и проблема не касается wysiwyga ни коим образом, кроме того, что я упомянул его, объяснив в каком ключе состоит моя проблема, но ты ведь слишком тупой, чтобы понять это...
т.о. - исчезни, калека

[Пепел Феникса]

Цитата:

Вот думаю какой wysiwyg редактор прикрепить к самописному форуму и как защитить себя от входящей инфы?

а это не просьба ссылки?

[ATL]

Цитата:

PHP код:

echo strip_tags($text, '<b>'); 


То ява код (клик по zzz) будет работать! Вот такая вот чепуха...

PHP код:

$text = '<b onclick="alert(1)">zzz</b>';

echo preg_replace("/<([\w][\w\d]*)[^>]*?(\/?)>/i",'<$1$2>', strip_tags($text, '<b>')); 


На, неадекват, обороняйся от чужеродного кода.

[Pamparam]

Цитата:

Сообщение от Пепел Феникса

а это не просьба ссылки?

тут что на форуме одни неадекваты остались? Какая нахрен просьба ссылки? Я говорил что выбираю редактор между bb и html и меня волнуют уязвимости в них. Где я просил ссылку на них???
Я говорил вообще О СЕРВЕРНОЙ ЧАСТИ, в которой нужно модифицировать входную от юзеров инфу. Каким образом на это влияет ссылка на вусивуг?

Цитата:

Сообщение от ATL

PHP код:

$text = '<b onclick="alert(1)">zzz</b>';

echo preg_replace("/<([\w][\w\d]*)[^>]*?(\/?)>/i",'<$1$2>', strip_tags($text, '<b>')); 


На, неадекват, обороняйся от чужеродного кода.

ЧТО ЖЕ СЛУЧИЛОСЬ? БОГИ СНИЗОШЛИ С НЕБЕС и заставили тебя напрячь остатки мозгов, чтобы прочитать суть топика